Bezpečnosť sieťových prvkov bola veľmi dlho podceňovaná a firmami odsúvaná do pozadia. V poslednom čase sa ale trend mení a veľa podnikov si uvedomuje význam a dôsledky potenciálnych hrozieb. Počet útokov zvnútra siete rapídne prevažuje počet útokov zvonka siete. Preto sa budeme venovať zabezpečeniu prístupových prepínačov (Access Switch), ku ktorým majú používatelia priamy prístup, a kde tak vzniká vysoké potenciálne riziko rôznych typov útokov.
Príklady možných útokov na prepínače:
Možné riešenia:
Port Security je najjednoduchší spôsob zabezpečenia portov, ktorý slúži na kontrolu adries MAC (Medium Access Control) pripojených na dané porty. V prípade porušenia definovaného pravidla sa vykoná akcia podľa toho, ako bol port nastavený.
Existujú tri reakcie na narušenie bezpečnosti:
Takto nastaveným spôsobom zabezpečenia previažeme daný fyzický port s pevne pridelenou virtuálnou sieťou (VLAN). Tým vznikne pevná väzba skupiny MAC adries a jednej VLAN na daný prístupový port.
Pre rozsiahle podnikové siete nie je predchádzajúce riešenie dostatočné a používajú sa komplexné integrované riešenia ako sú napr. riešenia založené na protokole (odporúčaní) IEEE 802.1X.
Zabezpečenie Port Security sa na Cisco prepínači vykoná nasledovne. Najskôr je potrebné na zvolenom porte zapnúť funkciu Port-Security pomocou príkazu „switchport port-security“. Prednastavenou hodnotou je 1, čo znamená, že k danému portu je možné pripojiť iba jedno zariadenie. Túto hodnotu, t.j. povolený počet MAC adries, ktoré môžu na daný port pristupovať, je možné zmeniť. Adresy sa prepínač môže tiež učiť buď dynamicky, alebo je možné ich nastaviť ručne. Ručné nastavenie sa realizuje pomocou príkazu „switchport port-security mac-address MAC-ADRESA“. Tento príkaz je možné rozšíriť parametrom „sticky“, ktorý zabezpečí, aby sa dynamicky naučená MAC adresa uložila do konfigurácie zariadenia. Ako už bolo uvedené skôr, teraz je potrebné nastaviť akciu, ktorú prepínač vykoná v prípade porušenia pravidiel pomocou príkazu „switchport port-security violation“. Všetko je možné názorne vidieť na nasledujúcom výpise.
DHCP Spoofing je druh sieťového útoku, kedy útočník v lokálnej sieti falšuje správy protokolu DHCP (napr. spustením vlastného DHCP servera s pozmenenými sieťovými parametrami) s cieľom podvrhnúť obeti napr. inú predvolenú bránu. Tým môže útočník docieliť presmerovanie premávky od obete na svoj počítač. Následne je potom schopný odpočúvať všetku odchádzajúcu premávku od obete.
Iným typom útoku na DHCP server je vyčerpanie adresných rozsahov DHCP servera (DHCP Starvation). V tomto prípade útočník generuje veľké množstvo sfalšovaných žiadostí o pridelenie adresy, čím dôjde k ich vyčerpaniu.
DHCP Snooping je označenie postupov, ktorými je možné brániť sa proti DHCP Spoofingu. Konfiguruje sa na prepínačoch, ktoré sú priamo pripojené ku koncovým staniciam (tzv. prístupové prepínače - Access Switches). Celý proces obrany proti DHCP spoofingu spočíva v odpočúvaní DHCP požiadaviek na portoch prepínača a blokovaní odosielaných podvrhnutých odpovedí žiadajúcim staniciam. Tým je vplyv útočníkovho podvrhnutého DHCP servera eliminovaný. Odosielanie odpovedí z DHCP servera je povolené iba na dôveryhodných (Trusted) portoch prepínačov. To, ktorý port je „dôveryhodný“, nastavuje ručne administrátor a obvykle to je iba jeden port, ku ktorému je pripojený pravý DHCP server. Cisco prepínače umožňujú nastaviť DHCP Snooping pre ľubovoľný počet VLAN, umožnujú nastaviť dôveryhodné porty, na ktorých sú pripojené DHCP servery, a umožňujú obmedziť počet požiadaviek PPS (Packet Per Second) na DHCP server a zabrániť tak jeho preťaženiu. Ukážka konfigurácie DHCP Snoopingu je na nasledujúcom výpise.
Zapnutím funkcie DHCP Snooping Binding Database (viď nasledujúci výpis) je možné sa navyše chrániť aj pred ďalšími typmi útokov v lokálnych sieťach. Po zapnutí tejto funkcie si totiž prepínač vytvára tabuľku obsahujúcu väzby medzi MAC adresou stanice, IP adresou, dobou zapožičania IP adresy, portom z ktorého komunikuje, virtuálnou sieťou (VLAN) v ktorej sa nachádza a spôsobom akým bola položka do tabuľky pridaná (ručne alebo automaticky). Tieto informácie potom využíva funkcia DAI (Dynamic ARP Inspection), ktorá chráni pred útokmi typu ARP Cache Poisoning.
ARP Cache Poisoning je veľmi jednoducho realizovateľný a ťažko odhaliteľný útok spočívajúci vo falšovaní odpovedí správ protokolu ARP (Address Resolution Protocol). Protokol ARP zabezpečuje zisťovanie väzieb IP adresa - MAC adresa v lokálnej sieti. Útočník pomocou sfalšovaných odpovedí dokáže spôsobiť presmerovanie komunikácie napadnutého PC na útočníka. Následne potom môže odpočúvať kompletnú komunikáciu obete s ostatnými stanicami v sieti.
Tento útok je možné detekovať (a zabrániť mu) priamo na prepínači, ktorý podporuje funkciu DAI.
Útok je možné jednoducho realizovať na PC napr. nástrojom Cain&Abel (www.oxid.it) alebo Ettercap (http://ettercap.sourceforge.net/).
Funkcia DAI je spôsob obrany proti ARP Cache Poisoningu. Využíva sa tabuľka vytvorená pomocou DHCP Snoopingu. Ak na prepínač príde ARP paket z dôveryhodného (trusted) portu, je poslaný ďalej. Ak ale na prepínač príde ARP paket z nedôveryhodného (untrusted) portu, je ďalej analyzovaný. Ak sa jedná o správu ARP Request, sieťový procesor v pakete zistí, či MAC a IP adresa počítača žiadajúceho o preklad patria k sebe. Ak áno, je paket preposlaný ďalej do siete. V opačnom prípade je zahodený. V prípade, že sa jedná o odpoveď na požiadavku (ARP Reply), tak sa navyše kontroluje, či k sebe patrí MAC a IP adresa počítača odpovedajúceho na správu ARP Request. Kombinácie IP a MAC adries sú brané z databázy vytvorenej funkciou DHCP Snooping. Príkaz na zapnutie DAI je na nasledujúcom výpise.
Na ďalšom výpise je príkaz na vypnutie kontroly DAI na dôveryhodných rozhraniach.
IP Source Guard má podobnú funkciu ako DAI, ale namiesto sfalšovaných MAC adries sa detekujú sfalšované zdrojové IP adresy. Umožňuje blokovanie nepovolených IP adries na portoch. Nastavuje sa na konkrétny port. Táto funkcia tiež využíva DHCP Snooping Binding Database. Príkaz pre zapnutie funkcie IP Source Guard je na nasledujúcom výpise.